Parcel Bundle漏洞学习

最新推荐文章于 2024-06-24 10:54:10 发布
最新推荐文章于 2024-06-24 10:54:10 发布
阅读量657 收藏
点赞数
文章标签: android Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aaajj/article/details/129467845
版权
文章介绍了Android中Bundle序列化过程中的一个安全漏洞,由于Parcel在写入和读取时的不严格对应,恶意构造的Bundle可以导致数据错位,从而绕过权限检查。举例说明了如何利用此类漏洞,并强调了规范使用Parcel的重要性,防止类似的安全问题发生。
摘要由CSDN通过智能技术生成

Bundle的序列化细节看上去还是有些复杂的,在之前已经讨论过,一般我们使用Parcel的时候,都是严格的write和read相对应。一些疏漏,不对应,竟然就可以成为漏洞,

https://xz.aliyun.com/t/2364 里介绍了Bundle漏洞的情况,详情可以去查看,

这里补充一些理解,

引用里面的原理图,

Bundle可以存储map键值对,存储 key-value数量 key1 value1 key2 value2 ...

根据key-value数量来控制读的次数,来进行反序列化。

  1. 当恶意bundle中存的data有<key, intent>

  1. 第一个key-value存储的是有bug的对象,这里是PeriodicAdvertisingReport

@Override
    public void writeToParcel(Parcel dest, int flags) {
        dest.writeInt(syncHandle);
        dest.writeLong(txPower);
        dest.writeInt(rssi);
        dest.writeInt(dataStatus);
        if (data != null) {
            dest.writeInt(1);
            dest.writeByteArray(data.getBytes());
        } else {
            dest.writeInt(0);
        }
    }
    private void readFromParcel(Parcel in) {
        syncHandle = in.readInt();
        txPower = in.readInt();
        rssi = in.readInt();
        dataStatus = in.readInt();
        if (in.readInt() == 1) {
            data = ScanRecord.parseFromBytes(in.createByteArray());
        }
    }

txPower的读写类型不一致,会造成错位。

系统中的这样有漏洞的Parcelable对象会被这样利用起来作为错位工具。

  1. 构造恶意Bundle,使用了特意的组装,而不是调用Parcelable对象里定义的构造方法。

        pcelData.writeString("mismatch");
        pcelData.writeInt(4); // VAL_PACELABLE
        pcelData.writeString("android.bluetooth.le.PeriodicAdvertisingReport"); // name of Class Loader
        pcelData.writeInt(1);//syncHandle
        pcelData.writeInt(1);//txPower
        pcelData.writeInt(1);//rssi
        pcelData.writeInt(1);//dataStatus
        pcelData.writeInt(1);// flag for data

就这样,错位后的结构中,原内容里的 <key, intent>数据 就冒充了Bundle中的第2个键值对来进行使用。

<key, intent>逃脱了权限检查。

如同这样一个命令字串,

  1. aaaabb'2.cccc

  1. dddd

第一条数据是aaaabb'2.cccc

第二条数据是dddd

当解析错位,以为2.cccc 是第二行,就会以为第二条数据是cccc

这个和sql注入有些相似。

一些不经意的漏洞,就会被别有用心的人利用,甚至做出更加卑劣的行为。

这里可以看出,Parce的读写要规范,不遵守规范,各种机缘巧合或者机关算尽下,就会出现匪夷所思的问题,如下面这个汽车上树。

参考资料

https://xz.aliyun.com/t/2364

https://blog.csdn.net/u010206565/article/details/129020951

aaajj
关注
MismatchParcel:Android序列化反序列化不匹配导致的一个安全问题的解析
05-13
Android中的序列化反序列化不匹配导致的漏洞解析 本文仅供安全技术交流,请勿用于不正当的用途,造成的一切后果与本文作者无关. 0x00 前言 上一次提到了这个漏洞,其中提到了修补方案,就是去验证intent指向的app和appB是不是有相同签名的,这里有这样一段: if (result != null + && (intent = result.getParcelable(AccountManager.KEY_INTENT)) != null) { + /* + * The Authenticator API allows third party authenticators to + * supply arbitrary intents to other
再谈Parcelable反序列化漏洞Bundle mismatch
键盘的起始页
06-15 428
近期在做Parcelable反序列化和Bundle mismatch方面的研究,在这个过程中有很多需要记录的内容,有些也是网络上相关文章没有提到的一些细节,并且由于aliyun上那篇最经典的原始文章链接失效,所以决定写一篇文章记录这种漏洞。由于Google官方在Android 13中的修改,这类漏洞即将退出历史舞台了,所以也用这篇文章作为纪念吧。
Bundle 风水 - Android Parcel 序列化与反序列化不匹配系列漏洞
stven_king的专栏
04-25 783
Bundle 风水(Bundle Fengshui)是指在 Android 应用开发中,使用 Bundle 类传递数据时,需要注意一些优化技巧,以避免在传递数据过程中出现性能问题。
Parcel , Parcelable, Bundle,
hjshen1970的专栏
10-30 406
Parcel:  存放可parcel的容器,提供接口读写 1。 基本的类型和基本类型的数组 2。Parcelable和Parcelable的数组 3。BundleBundle本身实现了Parcelable接口) (Bundle中value必须为可写入到Parcel中) 4。Active Object:For these objects the actual contents of
Bundle的Parcel化处理
aaajj的专栏
01-21 1912
Android中,使用Intent通过binder在不同进程间传送数据是很方便和通用的,Intent保持数据主要是通过Bundle来存储较多的数据。调用writeParcelableCreator,把类名信息保存起来,所以在恢复对象的时候,可以知道是什么类,Bundle中通过map来存储键值对,所以上面的例子中,使用key值来进行查找,就可以获取到value对象。Bundle的Parcel化读写比较复杂,细节较多,这里看一下大致过程,序列化的过程就是这样,再看看反序列化的关键点,调用到Bundle里。
安卓pwn - De1taCTF(BroadcastTest)
热门推荐
whklhhhh的博客
05-05 2万+
BroadcastTest 背景 逆向APK可知程序中仅有MainActivity$Message和三个Receiver类。 前者实现了一个Parcelable类,后三个则是广播。 其中Receiver1是export的,接收并向Receiver2发送广播,Receiver2和3则非export,只能接收内部发送的广播。 功能为Receiver1接收base64传入的data,然后将其反序列化得到...
CVE-2014-7911 Android 反序列化漏洞分析
Venscor技术养成之路
02-19 3564
网上对于此漏洞的分析已经很多了,由于这个漏洞设计了很多底层的知识,很值得学习。总算耐着性子把这个漏洞分析了一下,文章主要记录自己的分析过程。
Python WEB开发实战课程-从入门到精通-全面学习大前端技术
# 1. Python WEB开发入门 ## 1.1 Python基础知识回顾 Python作为一种广泛应用于WEB开发的编程语言,具有简洁明了的语法和丰富的库,让开发者可以高效完成各种任务。在本节中,我们将回顾Python的一些基础知识,...
android app渗透测试-Activity、Service
LJFYYJ的博客
08-02 2022
android Activity、Service的部分攻击面介绍;通过aidl接口调用解题的CTF实例
前端犄角旮旯,非常规面试题总结(不断更新....)
最新发布
qq_51398495的博客
06-24 994
27、判断类型的方式有哪些?1、typeof操作符:用来检测数据的类型,返回的是一个表示类型的字符串。2、instanceof操作符:用来检测对象是否为指定的构造函数的实例。3、方法:可以返回对象的准确类型。4、方法:用来判断一个变量是否为数组。(一)typeof和instanceof区别typeof返回的是一个字符串,表示变量的数据类型,可能的返回值有numberstringbooleanfunctionundefinedobject。instanceof返回的是一个布尔值,true或。
Android Parcelable反序列化漏洞分析与利用
道阻且长,行则将至。
11-27 4358
本文将分析系统那些实现了Android Parcelable的类,在序列化与反序列化过程中对变量的读写不匹配引发的反序列化漏洞,通过两个CVE漏洞的利用代码,学习该类漏洞的利用手法。
Parcelable和Bundle介绍
ai-exception的博客
04-11 1100
本文始发于github,由于文内部分链接使用的是相对路径,如果访问不到,请移步github项目内阅读即可正常访问。 原文(英文)地址 Parcelable和Bundle对象旨在跨进程使用,例如IPC / Binder事务,具有Intent的Activity之间,以及跨配置更改存储瞬态。此文档介绍有关使用Parcelable和Bundle对象的建议和最佳实践。 注意:Parcel不是通用的序列化机...
Android 反序列化漏洞攻防史话
有价值炮灰
02-20 1520
Java 在历史上出现过许多反序列化的漏洞,但大部分出自 J2EE 的组件。即便是 FastJSON 这种漏洞,似乎也很少看到在 Android 中被实际的触发和利用。本文即为对历史上曾出现过的 Android Java 反序列化漏洞的分析和研究记录。
android解析蓝牙广播所携带的信息
zzx2436125的专栏
03-26 1万+
前言在可穿戴行业工作了两年,各种需求都碰到过,前段时间客户提出了一个要求蓝牙在广播的时候要携带一个特定的服务(UUID),只有携带了此服务(UUID)的蓝牙设备才能被搜索到。之前都是以设备名称进行过滤的,突然改了一种方式当然要进行新的技术了解啊。 解决历程因为是抓取蓝牙在广播的时候携带的信息,所以判断信息应该是在设备蓝牙被扫描到时可以抓取到信息,于是我们看扫描蓝牙的回调private Bluetoo
Android安全笔记-进程间通信基本概念(intent、bundle、Parcelable、parcel
IT1995的博客
08-03 562
进程间通信 进程间传递消息: 例如启动一个Activity,在Intent中设置传递参数及其他数据(字符串、整数、数组、对象) ·intent.putExtra 消息组织和传递:Intent、Bundle、Parcelable、Parcel 前面我们知道Bundle可以绑定一些页面的状态(数据) Intent的内部实现是基于Bundle的。 如果要声明一个对象能在进程间传递,就需要实现Parcelable Intent 用于组建间的数据传递,Intent.putExtar ..
简要分析Android中的Intent,Bundle,Parcel中的数据传递
Programmer Training
06-19 2707
Intent是进程间通信的一种简要方式,其通讯数据可以存放在Bundle中,而在实际的进程间通讯过程中,数据则是打包成Parcel对象进行处理的.查看源代码后,简要分析一下其中的数据转换逻辑. 简单的逻辑就是:进程A----Data----Bundle----Intent----Parcel------进程B------Parcel----Intent----Bundle----Data(忽略了
Webpack前端源码泄露漏洞
网安君的博客
03-16 2万+
什么是Webpack? webpack是一个打包器(bundler),它能将多个js、css、json等文件打包成一个文件。这样可以使复杂的各种加载文件集合为整合为单一的集合,让代码更加模块化便于编程使用和浏览器加载。
Web 应用程序的十大安全漏洞
AI开源工具分享
02-14 1037
2021 年 OWASP Top 10 列表列出了 10 个最危险的 Web 应用程序安全漏洞。如果我们将当前列表与 2017 年列表进行比较,我们可以看到列表中仍然存在一些安全漏洞,但位置不同,并且列表中还包含一些新的安全漏洞。下表比较了 2017 年和 2021 年的列表。(2021 年列表中引入的安全漏洞以粗体标出,其余的只是重新排列)
android入门之Bundle和Parcelables传递数据
蛐蛐的博客
05-24 501
文档:https://developer.android.com/guide/components/activities/parcelables-and-bundles https://developer.android.com/reference/android/os/Parcelable 1.简介 Parcelable和Bundle对象旨在用于活动之间以及跨配置更改存储状态。 Parcel不是通用的序列化机制,不应该将任何Parcel数据存储在磁盘上或通过网络发送。 2.活动间发送
Android Bundle深度解析:数据传递与应用
- writeToParcel(Parcel parcel, int flags):将Bundle的内容写入Parcel对象,通常在序列化或跨进程通信时使用。 实例分析 以下是一个简单的Bundle使用示例: ```java public class BundleDemo extends Activity...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值